Lỗ hổng bảo mật liên quan tới phần mềm mật khẩu Keepass
heo cập nhật mới nhất từ phòng An toàn thông tin của Pho Tue Software Solutions, có một số vấn đề cần lưu ý với người dùng phần mềm quản lý mật khẩu KeePass cụ thể như sau:
KeePass phiên bản 2.x đến trước 2.54 đang tồn tại lỗ hổng mang mã định danh (CVE-2023-32784). Nếu khai thác thành công, hacker sẽ có khả năng khôi phục mật khẩu chính dạng clear text từ kết xuất bộ nhớ. Dù vậy, ký tự đầu tiên của mật khẩu vẫn không thể khôi phục được.
Lỗ hổng nằm trong text box (hộp văn bản) được phát triển tùy chỉnh có tên SecureTextBoxEx. Text box này được sử dụng bởi KeePass 2.X để nhập mật khẩu. SecureTextBoxEx không chỉ giới hạn ở mục nhập mật khẩu chính mà cả ở các phần khác của KeePass, ví dụ như box chỉnh sửa mật khẩu.
Để khai thác lỗ hổng, hacker sẽ tạo ra một chuỗi còn sót lại trong bộ nhớ cho mọi ký tự được nhập vào text box này. Do sự phức tạp của .NET, gần như không thể loại bỏ các chuỗi này sau khi chúng được tạo. Chẳng hạn, nhập mật khẩu “Password” sẽ dẫn đến việc tạo các chuỗi còn lại sau: •a, ••s, •••s, ••••w, •••••o, ••••• •r, •••••••d. PoC tìm kiếm kết xuất bộ nhớ cho các mẫu này và đề xuất một ký tự mật khẩu có thể xảy ra cho từng vị trí
Khả năng của việc khai thác tùy thuộc vào cách nhập mật khẩu và số lượng mật khẩu được nhập trong mỗi phiên. Tuy nhiên, Researcher Vdohney đã phát hiện ra rằng ngay cả khi điều này xảy ra trong mỗi phiên hoặc có lỗi chính tả, thứ tự của các chuỗi này trong bộ nhớ bởi .NET CLR có khả năng cho phép khôi phục tất cả mật khẩu.
Về phía nhà phát hành, hiện phiên bản 2.54 đang trong quá trình phát triển để chuẩn bị phát hành cho người dùng, phiên bản này cũng chỉ có thể giảm thiểu mức độ ảnh hưởng của lỗ hổng trên tuy nhiên phía nhà sản xuất vẫn khuyến cáo người dùng nên update lên phiên bản 2.54 khi phiên bản này được phát hành, hiện tại trên trang chủ của KeePass thì phiên bản mới nhất là phiên bản 2.53.1. Vậy phòng Security khuyến cáo người dùng như sau:
Update KeePass lên phiên bản mới nhất của hiện tại để tránh những lỗ hổng tồn tại trong các phiên bản cũ hơn của KeePass. Đồng thời luôn chú ý việc update KeePass. Và Update các phiên bản mới sớm nhất có thể.
Cách kiểm tra phiên bản hiện tại và các phiên bản Update của KeePass của KeePass
>> Có thể bạn quan tâm: Tăng cường độ an toàn cho mật khẩu giúp bảo vệ dữ liệu cá nhân
Trương Công Thành
Pho Tue SoftWare Solutions JSC là Nhà Cung cấp dịch Trung Tâm Dữ Liệu, Điện Toán Đám Mây Và Phát Triển Phần Mềm Hàng Đầu Việt Nam. Hệ Thống Data Center Đáp Ứng Mọi Nhu Cầu Với Kết Nối Internet Nhanh, Băng Thông Lớn, Uptime Lên Đến 99,99% Theo Tiêu Chuẩn TIER III-TIA 942.
Leave a comment
Your email address will not be published. Required fields are marked *